Speciale Pubblicato il 20/05/2019

Tempo di lettura: 4 minuti

Sanzioni privacy: il 20 maggio è cessata la (falsa) moratoria

di Modesti dott. Giovanni

Dal 20 maggio è finita la fase di prima applicazione delle dispozioni sanzionatorie in materia di privacy



Il Decreto Legislativo 10 agosto 2018, n. 101 - Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), all’art. 22, comma 13 stabiliva che:

“13. Per i primi otto mesi dalla  data  di  entrata  in  vigore  del presente decreto, il Garante per la  protezione  dei  dati  personali tiene conto, ai fini dell'applicazione delle sanzioni  amministrative e nei limiti in cui  risulti  compatibile  con  le  disposizioni  del Regolamento (UE) 2016/679, della fase  di  prima  applicazione  delle disposizioni sanzionatorie. “

L'articolo continua dopo la pubblicità

La moratoria per le sanzioni finisce il 20 maggio?

Molti, andando oltre la interpretazione letterale della norma, hanno rinvenuto in tale comma una sorta di moratoria - operata dall’Autorità di Controllo per la protezione dei dati personali (in Italia, il Garante) riguardo all’applicazione del regime sanzionatorio disciplinato sia attraverso il Regolamento (UE) 2016/679 che il D.Lgs. n. 196/2003 modificato dal D.Lgs. n. 101/2018 -, con decorrenza presunta dal 19 maggio 2019, (la scadenza slitterebbe al 20 maggio 2019 primo giorno feriale, successivo alla domenica.)

In realtà non è così perché dal 20 maggio 2019 non sono entrate in vigore nuove norme né tanto meno nuovi profili sanzionatori.

Le sanzioni variano a seconda del trasgressore, se si tratta di persona fisica o impresa.

Di seguito si riportano le tabelle relative ai due importi massimi previsti dal regolamento comunitario.

Sanzioni amministrative e sanzioni penali

Sanzioni amministrative fino a 10 milioni di euro, o in caso di un'impresa, fino al 2% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore.

Sono soggette a suddette sanzioni amministrative le violazioni delle disposizioni relative agli obblighi del Titolare o del Responsabile di cui ai seguenti articoli:

  • art. 8 (consenso dei minori),
  • art. 10 (trattamenti che non richiedono l’identificazione degli interessati),
  • art. 23 (privacy by design e privacy by default),
  • art. 24 (contitolarità del trattamento),
  • art. 25 (nomina rappresentante del Titolare non stabilito nell’Unione Europea),
  • art. 26 (Responsabili del trattamento),
  • art. 27 (istruzioni e autorità del Titolare),
  • art. 28 (documentazione relativa a ciascun trattamento di dati personali),
  • art. 29 (cooperazione con l’Autorità di vigilanza),
  • art. 30 (sicurezza del trattamento),
  • art. 31 (notificazione dei data breach all’Autorità),
  • art. 32 (comunicazione dei data breach agli interessati),
  • art. 33 (DPIA – Data Protection Impact Assessment),
  • art. 34 (consultazione preventiva dell’Autorità di vigilanza),
  • artt. 35, 36 e 37 (designazione, posizione e compiti del DPO – Data Protection Officer),
  • art. 39 (compiti del Responsabile della protezione dei dati)
  • art. 40 (processi di certificazione).

Sanzioni amministrative fino a 20 milioni di euro, o in caso di un'impresa, fino al 4% del fatturato totale annuo mondiale.

Sono soggette a suddette sanzioni amministrative le violazioni delle disposizioni relative agli obblighi del Titolare o del Responsabile di cui ai seguenti articoli:

  1. principi base del trattamento, (art. 5 e ss.)
  2. condizioni per il consenso, (art. 7 e ss.)
  3. diritti degli interessati, (art. 12 e ss.)
  4. trasferimento di dati personali all’estero, (artt. 44 e ss.)
  5. mancata ottemperanza a un ordine o a una limitazione temporanea o definitiva del trattamento disposti dall'Autorità di vigilanza. (art. 58)

Le sanzioni penali per la violazione alla privacy previste in Italia

Le sanzioni penali rimangono di competenza di ogni singolo Stato, che deve predisporre sanzioni “effettive, proporzionate e dissuasive”.

In Italia, si registra la seguente situazione:

l’art. 167 del Codice, rubricato “Trattamento illecito di dati” dispone che:

- le violazione riguardanti la materia del trattamento dei dati personali attraverso le comunicazioni elettroniche sono punite con la reclusione da sei mesi a un anno e sei mesi.

- le violazioni che riguardano:

a) il trattamento di categorie particolari di dati (artt. 9 e 10 GDPR);

b) il trasferimento di dati personali verso un Paese terzo (cioè al di fuori della UE/SEE) o una organizzazione internazionale;

sono punite con la reclusione da uno a tre anni.

L’art. 167 – bis  del Codice, rubricato “Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala”, dispone che:

la comunicazione/diffusione, senza consenso,  di un archivio automatizzato o di una parte sostanziale di esso, contenente dati personali, è punita con la reclusione da un anno a sei anni.

L’art. 167 – ter  del Codice, rubricato “Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala”, dispone che:

chi acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali è punito con la reclusione da un anno e quattro anni.

L’art. 168  del Codice, rubricato “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”, dispone che:

L’art. 170  del Codice, rubricato “Inosservanza di provvedimenti del Garante”, dispone che:

Per tutti i delitti sopra richiamati, come pena accessoria è prevista la pubblicazione della sentenza.



TAG: Privacy 2024